5. Протоколы семейства ip
IP (Internet Protocol) - протокол межсетевого взаимодействия, обеспечивает маршрутизацию пакетов в сети (RFC 791).
я
вляются
основой построения сетей intranet и глобальной
сети Internet. Несмотря на то, что разработка
TCP/IP финансировалась Министерством
обороны США, TCP/IP не обладает абсолютной
защищенностью и допускает различные
типы атак, рассмотренные в данной статье.
Для того, чтобы предпринять подобные
атаки, крэкер должен обладать контролем
над одной из систем, подключенной к
Internet. Это возможно, например, в случае,
когда крэкер взломал какую-то систему
или использует собственный компьютер,
имеющий соединение с Internet (для многих
атак достаточно иметь PPP-доступ). В данной
статье не рассматриваются возможные
физические атаки (например, непосредственный
съем информации через ethernet или перехват
трафика между радио-мостами). Все внимание
обращено на программную реализацию.
Статья подразумевает знакомство читателя
с TCP/IP и ориентирована на администраторов
в области безопасности. Официальное
описание семейства IP-протоколов можно
найти в RFC, при первом знакомстве с TCP/IP
может оказать неоценимую помощь
великолепная книга "TCP/IP Illustrated" by
R.Stevens. Автор оставляет в стороне моральные
вопросы, т.к. считает, что только полная
информация может помочь подготовиться
к возможным атакам и защититься от них.
Принцип "Безопасность через незнание"
(Security through Obscurity) редко оправдывает себя.
Атаки на TCP/IP можно разделить на два
вида: пассивные и активные.
Пассивные атаки на уровне TCP
При данном типе атак крэкеры никаким образом не обнаруживают себя и не вступают напрямую во взаимодействие с другими системами. Фактически все сводиться к наблюдению за доступными данными или сессиями связи.
Подслушивание
Атака заключаются в перехвате сетевого потока и его анализе (от англ. "sniffing"). Для осуществления подслушивания крэкеру необходимо иметь доступ к машине, расположенной на пути сетевого потока, который необходимо анализировать; например, к маршрутизатору или PPP-серверу на базе UNIX. Если крэкеру удастся получить достаточные права на этой машине, то с помощью специального программного обеспечения сможет просматривать весь трафик, проходящий через заданные интерфейс. Второй вариант -- крэкер получает доступ к машине, которая расположена в одном сегменте сети с системой, которой имеет доступ к сетевому потоку. Например, в сети "тонкий ethernet" сетевая карта может быть переведена в режим, в котором она будет получать все пакеты, циркулирующие по сети, а не только адресованной ей конкретно. В данном случае крэкеру не требуется доступ к UNIX -- достаточно иметь PC с DOS или Windows (частая ситуация в университетских сетях). Поскольку TCP/IP-трафик, как правило, не шифруется (мы рассмотрим исключения ниже), крэкер, используя соответствующий инструментарий, может перехватывать TCP/IP-пакеты, например, telnet-сессий и извлекать из них имена пользователей и их пароли. Следует заметить, что данный тип атаки невозможно отследить, не обладая доступом к системе крэкера, поскольку сетевой поток не изменяется. Единственная надежная защита от подслушивания -- шифрование TCP/IP-потока (например, secure shell) или использование одноразовых паролей (например, S/KEY). Другой вариант решения - использование интеллектуальных свитчей и UTP, в результате чего каждая машина получает только тот трафик, что адресован ей. У каждой палки два конца. Естественно, подслушивание может быть и полезно. Так, данный метод используется большим количеством программ, помогающих администраторам в анализе работы сети (ее загруженности, работоспособности и т.д.). Один из ярких примеров -- общеизвестный tcpdump.